Merge pull request #15862 from omoerbeek/backport-13970-to-rec-5.0.x

rec-5.0.x: Allow build-tags to run on forks

Allow build-tags to run on forks

build-tags uses: PowerDNS/pdns/.github/workflows/build-packages.yml@master
As of f107ec62467b8779db9bbdb175721ef232ed52e5, that workflow requires:

    permissions:
      actions: read   # To read the workflow path.
      id-token: write # To sign the provenance.
      contents: write # To be able to upload assets as release artifacts

Per https://docs.github.com/en/actions/using-workflows/reusing-workflows
in order for this to work, the calling job (in build-tags) needs to
have the maximum required permissions in order for the calling workflow
to be run.

(cherry picked from commit 8c4888c19d4997d7e443c6ad4953e716ee5429b0)

Merge pull request #15853 from omoerbeek/backport-ecs-to-5.0.x

rec: Backport to 5.0.x: chain and harden ECS enabled queries

Let fuzz test compile, slowParseEDNSOptions moved

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Backport of Fix two issues with chaining ECS enabled queries

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Fix merge errors

Merge pull request #15623 from romeroalx/backport-14565-to-rec-5.0.x

rec-5.0.x: backport 14565 - gh actions - coveralls: avoid CI failure by setting fail-on-error: false

gh actions - coveralls: avoid CI failure by setting fail-on-error: false

Fix test names

Implement metrics

Alwas detect mismatches in outgoing and incoming ECS; add tests for that as well

Refactor: get rid of an unneccesary loop

Run all ECS tests also in hardened mode and add a specific hardened mode test

Add setting and metric

Parse ECS info if relevant and act on it if it mismatches

Moved slowParseEDNSOptions() from dnsdist specific code to common code

Fix invalid scope test to do what I think is actually intended

To match incoming, don't look at subnet

Chain on ECS matching, and consider a mismatch in returned ECS as a spoof attempt

Pass actual (optional) ecs instead of bool to asendto()

Merge pull request #15484 from omoerbeek/rec-5.0-ubuntu-24

rec-5.0.x: switch to unbuntu-24 for workflows

rec-5.0.x: switch to unbuntu-24 for workflows

Merge pull request #15406 from omoerbeek/backport-15352-to-rec-5.0.x

rc: Backport 15352 to rec 5.0.x: in test_SimpleDot.py make sure we have the root DNSKEY in cache, it might require TCP

Update regression-tests.recursor-dnssec/test_SimpleDoT.py

Co-authored-by: Miod Vallat <miod.vallat@powerdns.com>
(cherry picked from commit 173e64959ab4ea2890d76825be2742601727cc42)

rec: in test_SimpleDot.py make sure we have the root DNSKEY in cache, it might require TCP

Previously we assumed we didn't need TCP at all.

(cherry picked from commit 4025ecc524689b38527e31c1f38aa1ebb23e7bc3)

Merge pull request #15281 from omoerbeek/rec-backport-15254-to-rec-5.0.x

rec: Backport 15254 to rec 5.0.x: If we see both a CNAME and answer records, follow CNAME and discard the answer records

Merge pull request #15288 from omoerbeek/rec-stop-using-ubuntu-20-on-rec-5.0.x

rec-5.0.x: Stop formatting check and start using Ubuntu-24.04 for fuzzing

Stop using Ubuntu 20.04 and do not run formatting run

And also use more modern CodeQL workflow

Tidy annotations

If we see both a CNAME and answer records, follow CNAME and discard the answer records

Merge pull request #15214 from omoerbeek/backport-14525-to-rec-5.0.x

rec: Backport 14525 to rec-5.0.x: add new root trust anchor

rec: add new root trust anchor

Merge pull request #14873 from romeroalx/backport-14862-to-rec-5.0.x

rec-5.0.x: Backport 14862 - builder: remove ubuntu lunar+mantic as they are EOL

builder: remove ubuntu lunar+mantic as they are EOL

Merge pull request #14827 from omoerbeek/gh-artifact-5.0.x

rec-5.0.x: move from up/download-artifact@3 to @4

rec-5.0.x: move from up/download-artifact@3 to @4

Merge pull request #14744 from omoerbeek/rec-5.0.9-branch

rec: backport of CVE-2024-25590 to rec-5.0.x: limit maximum size of rr sets in record cache

Optimization for the ADDR case: stop loop if we found 2 (A and AAAA)

rec: backport to rec-5.0.x: limit maximum size of rr sets in record cache

Merge pull request #14502 from omoerbeek/backport-14499-to-rec-5.0.x

rec: Backport 14499 to rec-5.0.x: limit the number of async tasks pushed to resolve NS names

rec: limit the number of async tasks pushed to resolve NS names

Plus: as we only use a limited set of NS names for resolving,
processing all additional records does not help.

(cherry picked from commit cd2de2ee7ad55f295a00dfce5488ee3863d974d6)

Merge pull request #14482 from omoerbeek/backport-14471-to-rec-5.0.x

rec: Backport of 14471 to rec-5.0.x: dump right SOA into dumpFile and report non-relative SOA for includeSOA=true

Merge pull request #14479 from omoerbeek/backport-14404-to-rec-5.0.x

rec: Backport 14404 to rec 5.0.x: Yahttp router: avoid unsigned underflow in route()

Merge pull request #14489 from omoerbeek/backport-14486-to-rec-5.0.x

rec: Backport 14486 to rec 5.0.x: pin pysnmp to version 5 for regression tests

Also pin pysnmp version for dnsdist regression tests

(cherry picked from commit 5d3db32982e7a06a9e653529baa2fb67e24d7189)

rec: pin pysnmp to version 5 for regression tests

(cherry picked from commit 4d44d3076051fe27ee91e847a3600ad19c44fd72)

rec: dump right SOA into dumpFile and report non-relative SOA for includeSOA=true

(cherry picked from commit 397da738caad01df0da04387083c73a0e941608b)

Yahttp router: avoid unsigned underflow in route()

Merge pull request #14444 from omoerbeek/rec-5.0.x-daily-el7

rec 5.0.x: daily build for el-7 instead of centos-7

rec 5.0.x: daily build for el-7 instead of centos-7

Merge pull request #14412 from omoerbeek/backport-14400-to-rec-5.0.x

rec: Backport 14400 to rec 5.0.x: switch el7 builds to Oracle Linux 7

switch el7 builds to Oracle Linux 7

(cherry picked from commit 73a1b98f92c671c590540ac19d74d70499f89066)

Merge pull request #14415 from omoerbeek/backport-14359-to-5.0.x

rec: Backport 14359 to 5.0.x: dns.cc: use pdns::views::UnsignedCharView

Add views.hh to pdns_recursor_SOURCES

dns.cc: use pdns::views::UnsignedCharView

Includes minor cleanup and additions to make UnsignedCharView usable for this use case.
Supersedes #14356
Fixes
/usr/include/c++/v1/__fwd/string_view.h:22:41: warning: 'char_traits<unsigned char>' is deprecated: char_traits<T> for T not equal to char, wchar_t, char8_t, char16_t or char32_t is non-standard and is provided for a temporary period. It will be removed in LLVM 19, so please migrate off of it. [-Wdeprecated-declarations]

(cherry picked from commit 949ea9456dbe76e78aeff5f6f37f218549d1b493)

import views.hh from master

Merge pull request #14379 from omoerbeek/backport-14373-to-rec-5.0.x

rec: Backport 14373 to rec 5.0.x:  Remove potential double SOA records if the target of a dns64 name is NODATA

Add test for duplicate SOA record in the dns64/NODATA case

(cherry picked from commit 84702509275d1d57fab944c27f9970e4cf8dccec)

Remove potential double SOA records if the target of a dns64 name is NODATA

(cherry picked from commit 40d632980b5734a08bd19015ee636ab5564e125a)

Merge pull request #14351 from omoerbeek/backport-14346-to-rec-5.0.x

rec: Backport 14346 to rec-5.0.x: fix TCP case for cached policy tags

Refactor test to avoid code duplciation, as suggested by @rgacogne

(cherry picked from commit 3aebfacee518cf32c07efb53e70317a4b2a4019a)

rec: fix TCP case for cached policy tags

(cherry picked from commit a7f8db9e9259dfe08e47959a6613f80b971ea535)

Merge pull request #14348 from omoerbeek/backport-14340-to-rec-5.0.x

rec: Backport 14340 to rec 5.0.x: count substituted remote in case of proxy protocol

Merge pull request #14347 from omoerbeek/backport-14247-to-rec-5.0.x

rec: Backport 14247 to rec 5.0.x: autoconf: allow prerelease systemd versions

Add regression test for remote count when using proxy protocol

(cherry picked from commit 264ee89e28dc6537836e840688a6d3d521291122)

rec: count substituted remote in case of proxy protocol

Other remote counts are already doing that

(cherry picked from commit a6f989d8cb1b26329a50925d6d7f0ef06d9572cd)

autoconf: allow prerelease systemd versions

For example 256~rc3. Also preemptively support versions like 252.2.

(cherry picked from commit 81e3f38b1909956e228077e4677c34f469ea9835)

Merge pull request #14316 from romeroalx/backport-14241-to-rec-5.0.x

rec-5.0.x: Backport removal of centos-8 and centos-8-stream as build targets

remove centos-8 and centos-8-stream as build targets

Merge pull request #14286 from romeroalx/backport-14171-to-rec-5.0.x-2

rec-5.0.x: backport of #14171 for fixing the build of images on new tags

gh actions: add WF for building and pushing images when a new tag is created

gh actions: add WF for building and pushing images manually

gh actions: modify docker.yml for building and pushing images daily (master)

gh actions: add WF for building and pushing multi-platform images on workflow_call events

Merge pull request #14223 from omoerbeek/backport-14197-to-rec-5.0.x

rec: Backport 14197 to rec 5.0.x: YaHTTP: Enforce max # of request fields and max request line size

Merge pull request #14222 from omoerbeek/backport-14185-to-rec-5.0.x

rec: Backport 14185 to rec 5.0.x: report error and adjust when linux map limit is too low

YaHTTP: Enforce max # of request fields and max request line size

The default values, 8192 bytes for the maximum request line size and
100 fields, are taken from the default settings of Apache HTTPd:
- https://httpd.apache.org/docs/2.2/mod/core.html#limitrequestline
- https://httpd.apache.org/docs/2.2/mod/core.html#limitrequestfields

Reported by OSS-Fuzz as a timeout in https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=67993

(cherry picked from commit 249c86a63865e4a980511839887890c3940fc6e6)

kern.max_map_count -> vm.max_map_count; from @phonedph1

(cherry picked from commit 83c50a424b44715efa4c40724dfb1cf2ba4b935b)

Two cases of wrong var (in code not compiled)

Co-authored-by: Remi Gacogne <github@coredump.fr>
(cherry picked from commit 766cb2804f51b17129fbb8abfc43c622bb4044ce)

Reformt

(cherry picked from commit 2759618132061d8cc543c1f25ff29b5db1936392)

Adjust max-mthreads if vm.max_map_count is too low

(cherry picked from commit 38917466a490628619a30d429ab30ef78f1a5357)

Use LockGuarded construct

(cherry picked from commit 40c7e858ea5a96bc60d6a0b64a038a876b44424c)

Use RIAA guard for d_inrun, making sure exceptions reset d_inrun

(cherry picked from commit e85f719bdcbe0f30e2629a3734181ff8e77b6a96)

Rate limit logging for a few cases (there could be more)

(cherry picked from commit f6fd9d7dcf657009c18b523228c0f8fddcdca157)

Log exceptions occuring in resolving action; do not let the worker threads die

(cherry picked from commit e169ad22df81efc19784f6339ae4380324ca16fe)

rec: report error when linux map limit is too low

(cherry picked from commit 49a683354132788191a55af9f7ab2ef44d72f271)

Merge pull request #14207 from romeroalx/backport-14171-to-rec-5.0.x

rec-5.0.x: Partial backport of #14171 for fixing the build of arm64 images

Adding liblua5.3-dev/libluajit-5.1-dev to dockerfiles

Merge pull request #14090 from omoerbeek/backport-14044-to-rec-5.0.x

rec: backport 14044 to rec-5.0.x: gh actions - replace yq snap in collect job build-and-test-all

gh actions - replace yq snap in collect job build-and-test-all

(cherry picked from commit 3a5fb2cb7e890e1ebb0e0e75f6349640fc76f878)

Merge pull request #14132 from romeroalx/ci-build-ubuntu-22

rec-5.0.x: gh actions - use ubuntu-22.04 runners in build-and-test-all

gh actions - build-and-test-all: use ubuntu-22.04 runners

Merge pull request #14091 from omoerbeek/backport-14049-to-rec-5.0.x

rec: Backport 14049 to rec-5.0.x: do not count RRSIGs using unsupported algorithms toward RRSIGs limit

Merge pull request #14089 from omoerbeek/backport-13983-to-rec-5.0.x

Backport 13983 to rec 5.0.x: Generate Software Bill Of Materials (SBOMs) for our RPM packages

Merge pull request #14088 from omoerbeek/backport-13972-to-rec-5.0.x

rec: Backport 13972 and 13981 to rec 5.0.x: Move the version (and hashes) of external dependencies to JSON files

Merge pull request #14108 from Habbie/rel/rec-5.0.4-branch

merge rec-5.0.4 back onto rel/rec-5.0.x

rec: do not count RRSIGs using unsupported algorithms toward RRSIGs limit

(cherry picked from commit 834660b5c62fe7a8bcf93b0182f26fbfa5464ecc)

SBOM: Dynamically generate the list of auth-related packages

(cherry picked from commit 94b262b9709077f7c3a4e8cd74108e2c6991a63e)

SBOM: Fix the builder target variable

(cherry picked from commit b17412c732f8ec98ae47926254828cb45ff825df)

Fix syntax errors

(cherry picked from commit fef1b1c63e150b34a391bc836596657ec068de81)

Disable SBOM generation on el-7 (almost EOL), fix it on el-8

(cherry picked from commit 4b54c7db6822c31d70a5661258b4ed70c58ee163)